DÉVELOPPEMENT ET SÉCURITÉ DES APPLICATIONS WEB MODERNES
NOTES DE LA 1ʳᵉ SÉANCE - 29/11/21
HTTP vs HTTPS
HTTP ⇾ Protocole de communication
entre client/Serveur. Il envoie les
données en clair.
HTTPS ⇾ C’est le HTTP + Sécurité.
Nous atteignons la sécurité en utilisant
des certificats SSL/TLS. SSL et TLS
sont des protocoles de cryptage permettant de chiffrer les données.
Le certificat authentifie l'identité du serveur web et permet d’établir une connexion chiffrée
entre le serveur et le navigateur.
Le SSL est maintenant obsolète.
1
�Web dynamique vs Web statique
2
�DDOS (Distributed Denial Of Service)
Denial-of-service se produit lorsque le serveur
ne peut plus gérer les requêtes entrantes,
rendant le serveur indisponible.
Distibuted ⇾ Les requêtes proviennent de
plusieurs clients.
Pour contourner ce déni de service, on peut
utiliser plusieurs serveurs pour répartir la
charge, par ex., selon la zone géographique des
clients.
Question à répondre pour la prochaine séance :
Combien de connexions peut gérer un serveur web par seconde ?
3
�Validation des données
4
�Méthodes de requête HTTP
GET ⇾ Créée à l'origine pour demander des données au serveur, mais maintenant utilisé également pour envoyer
des données. Ça se fait en ajoutant ces données sous forme de paires (variable et sa valeur) dans l’URL.
Ex. [Link]
La taille de données qu’on peut envoyer avec GET est limitée et les données sont clairement visibles dans l’URL.
POST ⇾ Envoyer une taille illimitée de données au serveur + ces données ne seront pas visibles dans l’URL offrant
une meilleure sécurité que GET.
HEAD ⇾ Demande que de l’en-tête (header) d’une ressource (Réponse de GET sans le corps).
5
�Les servlets
HttpServletResponse et HttpServletRequest gèrent les requêtes HTTP.
Une servlet doit implémenter(override) au moins une des méthodes doGET(), dePOST(), etc.
Les servlets sont enregistrées soit dans le fichier [Link], soit à l'aide d'annotations.
6
�AAA (Authentication, Authorization, Audit)
Authentication ⇾ Fournir des informations pour s’identifier (Login).
Authorization ⇾ Après l’authentification, il faut déterminer le rôle de l'utilisateur (Admin, utilisateur
normal ou autre) pour lui accorder les bons privilèges.
Audit ⇾ Garder un log des actions des utilisateurs, etc.
7
�Stateless vs Stateful
Statless ⇾ (Sans état) Il n’enregistre aucune transaction passée (Pas d’historique).
Stateful ⇾ (Avec état) Enregistre les transactions passées.
Les protocoles HTTP, HTTPS sont stateless.
Pour passer outre ça, on utilise les cookies et les variables de session.
8
�Des sujets qu’on va étudier :
➔ Cryptographie + Certificats
➔ Implémentation du PKI sur Tomcat (PKI permet de construire des certificats
localement)
Projet (En groupe) : Détails dans le support de cours.
